Application Note

Génération de certificats SSL

Table des matières

Certificats : Introduction ............................................................................ 3

Installation d’OpenVPN et des scripts Easy-RSA ......................................... 3

Création des certificats ............................................................................... 4

Génération du certificat du CA (Autorité de Certification) ....................... 6

Génération du certificat du serveur VPN ................................................. 6

Génération du certificat du client VPN ..................................................... 7

Importation des certificats .................................................................... 10

Précaution : veillez à mettre à l’heure votre équipement avant de charger vos

certificats dedans.

Certificats : Introduction

Les certificats sont des fichiers informatiques qui participent à un processus d’authentification

et qui associent une clé publique à son propriétaire.

Le format standardisé est le X.509v3.

Dans le présent document, nous allons créer des certificats auto-signés grâce à Easy-RSA qui

est fourni avec OpenVPN. Ils serviront par la suite dans le cadre d’un fonctionnement interne,

typiquement pour la création de tunnels VPN SSL ou IPSec.

Installation d’OpenVPN et des scripts Easy-RSA

Télécharger OpenVPN pour Windows à partir du lien suivant :

https://openvpn.net/index.php/open-source/downloads.html

Remarque : au moment de la rédaction de ce document, la version est 2.3.4-I603 pour

Windows 32 bits.

Lors de l’installation, vous devez vous assurer que les scripts d’Easy-RSA et les utilitaires

d’OpenSSL sont bien validés.

Une fois l’installation terminée, vous trouverez dans le répertoire C:\Program Files\OpenVPN

le contenu suivant :

Création des certificats

Ouvrer une invite de commande en tant qu’administrateur et aller dans le répertoire easy-rsa.

Réinitialiser le fichier de configuration et le fichier des variables avec la commande

init-config.bat.

Modifier le fichier vars.bat avec un éditeur de texte tel que Notepad++. Celui-ci se trouve

dans le répertoire easy-rsa.

Ces champs de variables permettent d’identifier votre organisation.

Valider les paramètres que vous venez d’éditer et créer le répertoire keys où seront stockés les

différents certificats par les commandes vars.bat et clean-all.bat.

Le répertoire keys est créé avec 2 fichiers présents : index.txt et serial. Ceux-ci serviront à

répertorier les certificats créés avec leur numéro de série.

Remarque : si vous aviez déjà créé des certificats, alors la commande clean-all.bat aura pour

effet de remettre le répertoire keys en état initial. Tous les certificats seront alors effacés.

Génération du certificat du CA (Autorité de Certification)

Pour créer le certificat du CA, utiliser la commande build-ca.bat.

Laisser blanc les champs que vous voulez garder identique. Le champ Common Name doit

être rempli avec un nouvel identifiant pour chaque organisation ou projet.

Le certificat et la clé privée du CA sont créés dans le répertoire keys.

Génération du certificat du serveur VPN

La commande utilisée est build-key-server.bat suivi du nom du serveur.

Par exemple, pour un nouveau projet avec une architecture en étoile, vous pouvez identifier le

serveur VPN avec :

build-key-server.bat SiteCentral

Le champ Common Name doit être rempli avec le même nom que vous avez tapé dans la

commande.

Laisser vide le champ mot de passe.

Répondez par oui (yes) pour prendre en compte la demande d’émission et de signature du

certificat.

Génération du certificat du client VPN

La commande utilisée est build-key.bat suivi du nom du client.

Vous pouvez identifier le client avec le nom d’un site périphérique, auquel cas vous entrerez

par exemple la commande suivante :

build-key.bat SiteDistant

La génération des certificats se termine ici.

Vous pouvez alors les charger sur vos équipements.

Sur le routeur Serveur, vous aller donc importer : Server.crt, Server.key et ca.key.

Sur le Client, vous chargez : Client.crt, Client.key et ca.key.

Le format PKCS12 est plus pratique à utiliser puisqu’il regroupe en un seul fichier le certificat

et la clé du client ainsi que le certificat du CA. De plus, il peut être protégé par un mot de

passe.

La commande utilisée pour générer ce type de format est build-key-pkcs12.bat suivi du nom

du client.

Par exemple :

build-key-pkcs12.bat SiteDistant2

Pour exporter ce type de certificat dans votre équipement client VPN, rentrez le même mot de

passe que vous avez configuré précédemment.

Certains serveurs SSL requièrent en plus un fichier issu de l’opération Diffie-Hellman qui

permet l’échange sécurisé des clés.

Ce fichier est obtenu par la commande build-dh.bat.

Importation des certificats

Sur un routeur Falcon, l’importation se fait de la manière suivante.

Une fois que vous avez importé vos 3 fichiers, vous devez obtenir le tableau suivant :

Sur un routeur MRD, le chargement se fait avec un fichier de type PKCS12 (extension p12).

Si vous avez mis un mot de passe pour le protéger lors de la création du fichier p12, il vous le

sera demandé pour pouvoir le charger sur le routeur.